Търсене
Close this search box.

Изследователи в областта на сигурността изказват предположението, че нарастващият брой експлойти на критичната уязвимост в Log4J скоро може да се влоши, тъй като киберпрестъпниците продължават да намират нови начини за заобикаляне на продължаващото прилагане на мерките на Microsoft за борба с фишинга.

Въведена през 2022 г., след като ИТ общността я изискваше в продължение на години, Microsoft блокира по подразбиране активирането на VBA макроси в документите на Office.

Това означаваше, че един от водещите методи за разпространение на зловреден софтуер чрез документи на Office и фишинг имейли на практика беше обезсилен – голяма придобивка за защитниците.

Оттогава насам изследователите от ESET забелязват ръст на експлойтите, насочени към уязвимостта Log4J, в целия свят.

Въпреки че причината за увеличаването на опитите засега не е ясна за изследователите, съществува вероятност киберпрестъпниците да търсят нови начини за извършване на атаки, тъй като сега фишингът със злонамерени документи е станал по-труден.

Изследователите на ESET заявиха, че макар и да е само теория, това нарастване може да продължи, тъй като киберпрестъпниците търсят ефективни начини за постигане на целите си, след като една от най-предпочитаните им тактики е била осуетена.

„Ако погледнете цифрите в световен мащаб, [през 2022 г.] видяхме 166 милиона атаки… а през 2023 г. броят им се увеличаваше с 13%“, каза Ондрей Кубович, специалист по осведоменост за сигурността в ESET, относно последните данни за опитите за експлойт на Log4J.

„Така че, знаейки, че се въвеждат нови системи с Log4J, и нашата статистика показва това, тогава можем да кажем, че Log4J все още е интересен за атакуващите, а със затварянето на VBA [макросите] и затварянето на OneNote, това може да се влоши.“

Последните данни на Log4J

Въпреки че Log4Shell не е толкова опустошителен, колкото общността първоначално смяташе, че ще бъде, той продължава да бъде силно експлоатиран – вторият най-използван метод за експлоатиране според телеметрията на ESET, след отгатването на пароли.

Очаква се популярността на експлоатирането на уязвимостта да нарасне не само заради антифишинг мерките на Microsoft, но и заради броя на уязвимите изтегляния, които все още се правят.

В своя доклад за заплахите T3 2022 ESET заяви, че цели една четвърт от всички нови изтегляния на библиотеката Log4J са от уязвимата версия, въпреки че от декември 2021 г. са налични поправени и защитени версии.

Данните на IBM обрисуват още по-мрачна картина, като показват, че почти половината (40%) все още са уязвими към дефекта, който получи максимална оценка 10/10 по скалата за сериозност CVSSv3.

Само през последните седем дни 32% от изтеглянията на Log4J са били на уязвимата версия, показват данните на Sonatype.

Към септември 2022 г. броят на блокираните опити за експлойт на Log4J в Обединеното кралство е 13,4 милиона, съобщиха от ESET, което е приблизително 12% от 166-те милиона опити в световен мащаб.

Това представлява 15% увеличение на годишна база, което като цяло е в съответствие с данните за страните по света.

Данните за Полша са едни от най-високите от всички страни в света с 30% увеличение на атаките.

ESET не можа да предложи окончателно обяснение за тези значително високи опити за атаки, както и полският национален екип за реагиране при компютърни инциденти (CERT) след консултация с изследователите по сигурността.

Приблизително по това време украинският CERT издаде предупреждение, в което предупреждава за промяната на тактиката на Русия, която предпочита експлоатирането на уязвимости в противовес на техниките за атака, използвани по-рано в конфликта, въпреки че не е установена силна връзка между дейността на страната и експлойтите Log4J в Полша.

Блокиране на макроси VBA: Доколко е ефективно?

През годината, откакто Microsoft въведе промените в документите на Office, блокирайки макросите VBA по подразбиране, данните показват драстично намаляване на атаките.

Данните на Proofpoint от края на 2022 г. показват 66% спад на опитите за атаки с макроси – тенденция, която продължава и през първата половина на 2023 г., като макросите „почти не се появяват“ в данните за кампаниите.

„Екосистемата на киберпрестъпността преживя монументална промяна в активността и поведението на заплахите през последната година по начин, който досега не е наблюдаван от изследователите на заплахите, заявиха от компанията за сигурност.

„Финансово мотивираните участници в заплахите, които получават първоначален достъп чрез електронна поща, вече не използват статични, предсказуеми вериги за атаки, а по-скоро динамични, бързо променящи се техники.“

Констатациите в данните на Proofpoint бяха потвърдени и от изследователите на ESET в частни медийни брифинги.

Атакуващите се насочват към OneNote

След като Microsoft прекрати използването на макроси в документите на Office, нападателите скоро осъзнаха, че приложението за водене на бележки OneNote на компанията може да бъде използвано по подобен начин, както Word и Excel преди 2022 г.

По-рано тази година различни фирми за сигурност съобщиха за увеличаване на броя на атаките, свързани с файловете на OneNote, които все още позволяват вграждането на различни файлове в документите, включително изпълними файлове.

В типичен сценарий на жертвата се изпраща имейл, към който е прикачен предимно празен документ от OneNote.

Атакуващите създават голямо текстово поле с надпис „Щракнете, за да отворите документа“ или подобно съобщение, но зад това текстово поле се намират редица връзки към пакетни файлове, които ще бъдат щракнати и изпълнени, ако жертвата щракне върху текстовото поле, което служи само за скриване на злонамерените бутони.

В някои примери поредица от пакетни файлове се стартира, като изтегля други подобни файлове и изпълнява PowerShell код, което в крайна сметка води до инсталиране на зловреден софтуер и по същество заобикаля блокирането на VBA макросите.

В пример, изтъкнат от Fortinet през март 2023 г., подобна атака е довела до пускането на AsyncRAT, който е успял да поеме пълен контрол над машината на жертвата.

През същия месец Microsoft въведе подобрени мерки за сигурност за OneNote, включително по-чести и ясни предупреждения при отваряне на потенциално зловредни файлове.

Седмици по-късно тя обяви също, че ще блокира по подразбиране 120 файлови разширения, често използвани в злонамерени кампании, като допълнителна мярка срещу фишинга, използващ нейния софтуер за производителност.

Сега се появиха нови опасения във връзка с въвеждането на нови домейни от първо ниво (ДПН).

Експертите по киберсигурност и преди са критикували новите допълнения, включително такива като .zip, тъй като те могат да бъдат използвани в кампании, като потенциално правят зловредните връзки да изглеждат по-легитимни, отколкото са в действителност.

Изследователите на ESET заявиха пред ITPro, че макар настоящите данни да не показват значително увеличение на атаките, използващи новите TLD, те „разбират загрижеността“.

Източник: itpro.co.uk

Подобни публикации

16 септември 2024

Може ли дълбоките технологии да бъдат следващия...

В началото на 2000-те години Естония бързо се модернизира, отърсвай...
16 септември 2024

Отборите от NFL блокират кибератаките в дигитал...

През изминалия уикенд Националната футболна лига стартира своя сезо...
16 септември 2024

Google прави големи разходи за технология за ул...

Технологичният гигант сключи нова сделка за  улавяне на 100 000 тон...
16 септември 2024

Всичко, което трябва да знаете за поредния проб...

Fortinet твърди, че няма доказателства за злонамерена дейност, насо...
16 септември 2024

Canva се похвали с новите си функции, след коет...

Цените на абонамента за Canva ще се повишат за корпоративните потре...
16 септември 2024

Уязвимостта на Windows злоупотребява с брайлови...

Неотдавна поправената уязвимост „Windows MSHTML spoofing vulnerabil...
Бъдете социални
Още по темата
15/09/2024

Microsoft и Quantinuum комб...

Технологичният гигант Microsoft и водещият разработчик...
08/09/2024

Европа отвори вратата към у...

Представете си, че се премествате в...
29/08/2024

Злонамерен софтуер, доставе...

Наблюдавани са заплахи, които доставят зловреден...
Последно добавени
16/09/2024

Може ли дълбоките технологи...

В началото на 2000-те години Естония...
16/09/2024

Отборите от NFL блокират ки...

През изминалия уикенд Националната футболна лига...
16/09/2024

Google прави големи разходи...

Технологичният гигант сключи нова сделка за ...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!